Clop ransomware banden er tilbage og rammer 21 ofre i en enkelt måned

Hvem er Clop?

Clop ransomware-bandens aktivitetsstilstand forklares let ved, at noget af dens infrastruktur bliver lukket ned i juni 2021 efter en international retshåndhævelsesoperation med kodenavnet Operation Cyclone koordineret af INTERPOL.

Seks personer, der mistænkes for at hvidvaske penge og levere udbetalingstjenester til Clop ransomware-banden, blev anholdt af ukrainske myndigheder efter 21 hjemmesøgninger i Kiev-regionen.

Efter effektivt at have lukket ned for hele deres drift i flere måneder, mellem november og februar, er Clop ransomware nu tilbage, ifølge NCC Group forskere.

“CL0P havde en eksplosiv og uventet tilbagevenden til fronten af ransomware-trusselslandskabet og sprang fra den mindst aktive trusselsaktør i marts til den fjerde mest aktive i april,”

siger NCC Group.

Denne stigning i aktiviteten blev bemærket, efter at ransomware-gruppen tilføjede 21 nye ofre til deres datalækagested på Darknet inden for en enkelt måned, i april.

“Der var bemærkelsesværdige udsving i trusselsaktørens målretning i april. Mens Lockbit 2.0 (103 ofre) og Conti (45 ofre) fortsat er de mest produktive trusselsaktører, steg ofrene for CL0P massivt, fra 1 til 21,”

siger NCC Group.

Den mest målrettede sektor var industrisektoren, hvor 45% af Clop ransomware-angreb ramte industrielle organisationer og 27% var rettet mod teknologivirksomheder.

På grund af dette, advarer NCC Groups strategiske trusselsefterretning globale leder Matt Hull organisationer inden for ransomware-gruppens mest målrettede sektorer om at overveje muligheden for at være denne bandes næste mål og forberede sig i overensstemmelse hermed.

På trods af at CLOP allerede lækker data fra næsten to dusin ofre, syntes ransomware-gruppen synes dog ikke særlig aktiv baseret på antallet af indsendelser på ID Ransomware-tjenesten.

En del af en nedlukningsproces?

Mens nogle af de nylige ofre bekræftes at være nye angreb, er en teori, at Clop-banden endelig kan lukke deres operation efter at have været inaktiv i så lang tid.

Som en del af denne proces, vil ransomware banden sandsynligvis offentliggøre data fra ALLE tidligere upublicerede ofre.

Dette svarer til, hvad Conti-gruppen ser ud til at gøre lige nu, som en del af deres egen igangværende nedlukning.

Uanset om disse er gamle eller nye ofre, vil det sandsynligvis blive bekræftet, hvis de frigiver meddelelser om brud eller offentliggør bekræftelser (nogle af dem har allerede gjort det).

“Den samlede indvirkning på CLOP forventes at være mindre,” sagde cybersikkerhedsfirmaet Intel 471 til BleepingComputer.

Ofrene er spredt over hele verden i ransomware-angreb siden 2019 inkluderer Maastricht University, Software AG IT, ExecuPharm, og Indiabulls). Clop-banden er også knyttet til en massiv bølge af Accellion-databrud, der førte til en betydelig stigning i gennemsnitlige løsepengebetalinger i de første tre måneder af 2021.

I Accellion-angrebene eksfiltrerede Clops operatører kun store mængder data fra højt profilerede virksomheder ved hjælp af Accellions ældre File Transfer Appliance (FTA).

Banden brugte senere disse stjålne data som løftestang til at afpresse de kompromitterede virksomheder, tvinge dem til at betale høje løsepengekrav for ikke at få deres data lækket online.

Listen over virksomheder, der fik deres Accellion FTA-servere hacket af Clop, omfatter blandt andet energigiganten Shell, cybersikkerhedsfirmaet Qualys, supermarkedsgiganten Kroger og flere universiteter verden over blandet andet (University of Colorado, University of Miami, Stanford Medicine, University of Maryland Baltimore (UMB) og University of California.)

Kilde: Bleebingcomputer
Fotokredit: highcharts.com